Hackare kan kringgå spamfilter och meddelandeautentisering

Computer Security News

E-källa spoofing, kringgå spamfilter och skydd, såsom domänbaserade meddelandeautentisering, rapportering och överensstämmelse (DMARC), har företrätts av penetration testare Sabri Haddouche, utgör en risk för användare som kör en sårbar och unpatched e-postklient.

Testaren fann att mer än 30 e-postklienter som Thunderbird, Apple Mail, olika Windows-klienter, Yahoo! Mail, ProtonMail m.fl., schabblat deras implementering av en forntida RFC, tillåter hackare att lura programmet att visa en falsk från fältet, trots att servern ser den verkliga avsändaren.

Med andra ord, om servern är konfigurerad för att använda DMARC, Sender Policy Framework(SPF) eller domän nycklar identifierade Mail (DKIM), kommer att det behandla ett meddelande som legit, även om det bör vara spam-kastas i papperskorgen.

Däremot, är RFC RFC 1342 ”framställning av icke-ASCII-Text i Internet meddelanderubriker” och vad Haddouche hittat är genomförandet felet som e-postklienter och Web mail-gränssnitt inte ordentligt sprita en icke-ASCII-sträng efter avkodning det.

Enligt Haddouche, för inbäddning kan använda antingen =? utf-8? b? [BASE-64]?= or =?utf-8?Q?[QUOTED-PRINTABLE]? = för för inbäddning.

Exempelvis Apple Mail matas följande:

från: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? ==? utf-8? Q? = 00? ==? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com.

De två säkerhetsproblem här är:

  • iOS har en null-byte injektion bugg, så att den ignorerar allt efter denna byte och visar potus@whitehouse.gov som avsändaren.
  • MacOS macOS ignorerar den null-byten men stannar efter det första giltiga e det ser (på grund av en bugg i tolken).

Sabri Haddouche kallas bugg ”Mailsploit”, och en fullständig lista över sårbara kunder.

Mailsploit har en annan brist – vissa problem biljettsystem (Supportsystem, osTicket och Intercom) omfattas också av felet. I många utskick, kan dessutom buggen också utnyttjas för cross-site scripting och kod injektionsattacker.

De leverantörer som Haddouche kontaktade har antingen lappat eller fick arbeta på ett plåster, även om Mozilla och Opera kan vara en SSI-fråga, och Mailbird ”stängd biljetten utan att svara”.


Leave a Reply

Your email address will not be published. Required fields are marked *